Определение целей СФЗ
Графическое представление методологии СФЗ дано на рис. 1. Как указано выше, первый шаг в процессе — определить цели системы физической защиты. Для того чтобы их сформулировать, разработчик должен определить характер и условия функционирования объекта, выявить угрозы и цели нападения.
Рис. 1. Процесс проектирования и оценки эффективности комплексной системы информационной защиты объекта.
Процесс начинается с определения задач, затем проектируется система, решающая эти задачи, и наконец оценивается, насколько хорошо система их выполняет. Для определения характера и условий функционирования объекта требуется тщательное описание самого объекта (нахождение границ объекта и зданий, планы этажей зданий, указание входов). Необходимы также характеристики рабочих процессов на объекте и выявление существующих мер защиты. Эта информация может быть получена из нескольких источников, включая проектную документацию объекта, описания технологических процессов, отчеты по охране труда и оценки по влиянию объекта на окружающую среду. Кроме сбора и изучения подобной документации необходимы также посещение изучаемого объекта и опросы работающего на нем персонала, т. е. обследование объекта с целью проектирования СФЗ. Это поможет лучше понять требования по физической защите объекта, а также ограничения, связанные с его функционированием и аварийной безопасностью, которые должны быть приняты во внимание. Любой объект уникален, поэтому процесс должен выполняться каждый раз, когда возникает в этом потребность. Для того чтобы работа могла продолжаться эффективно, безопасно и при этом осуществлялась физическая защита, обычно приходится идти на компромиссы. Кроме того, следует рассмотреть вопросы ответственности, а также действующие юридические и другие нормативные требования.
Затем надо определить угрозы для защищаемой информации. Эти данные могут быть получены при ответах на три вопроса о нарушителе:
1. Какой тип нарушителя следует рассматривать?
2. Каков диапазон его тактических приемов?
3. Каковы возможности нарушителя?
Нарушители могут быть отнесены к одному из трех типов — посторонние лица, сотрудники объекта и посторонние лица, действующие в сговоре с сотрудниками. Для каждого типа нарушителей должен быть рассмотрен весь спектр приемов (обман, насилие, кража и их комбинации). Обман — это попытка преодолеть систему безопасности, используя фальшивые документы или выдавая себя за другое лицо; насилие — открытая попытка силового воздействия на систему безопасности; а скрытность — это любая попытка обойти систему обнаружения и тайно проникнуть на объект.
Для любого объекта могут существовать несколько угроз, например преступное лицо, недовольный служащий, конкурент или их комбинации. Система физической защиты должна быть разработана для противодействия всем указанным факторам. Этому способствуют выбор наиболее вероятной угрозы, проектирование системы для защиты от нее и последующие испытания системы для проверки уровня защиты от других возможных угроз.
Приняв во внимание информацию, полученную при определении характеристик объекта и угроз, а также при выявлении целей нападения, разработчик может сформулировать задачи СФЗ. Они могут состоять, например, в прерывании действий преступника, располагающего только подручными средствами и автомобилем, прежде чем, предположим, компакт диск со схемами нового микропроцессора вывезут через служебный вход. Процесс формулирования задач может быть в некоторой степени рекурсивным. Это означает, что определение угроз будет зависеть от выявления целей нападения и наоборот. Такая рекурсия вероятна, она является индикатором сложных зависимостей между задачами систем защиты.
Создание окончательного проекта СФЗ
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.